Il existe de nombreux outils SIEM disponibles sur le marché comme Splunk, MS Sentinel et IBM QRadar. Voyons aujourd'hui les avantages de MS Sentinel :
1. Cet outil est entièrement construit sur Azure et ne nécessite pas d'infrastructure sur site.
2. Étant déployé sur Azure, il s'adapte automatiquement en fonction de l'ingestion de données.
3. L'intégration avec Azure AD, Defender for Cloud et les outils MS est très facile et rapide.
4. Il possède de nombreuses fonctionnalités, dont l'une est l'IA qui détecte automatiquement les anomalies et corrèle les signaux à travers les sources de données.
5. Il utilise KQL, ce qui aide à la création de rapports et à obtenir des analyses approfondies avec des requêtes personnalisées.
6. Il dispose de très nombreuses règles communautaires, de tableaux de bord et de playbooks disponibles sur GitHub et la communauté Sentinel, ce qui facilite grandement les choses par rapport à d'autres outils SIEM. Avis collecté par et hébergé sur G2.com.
1. Sentinel a un modèle de tarification "pay as you go" qui le rend très cher si vous ingérez beaucoup de données.
2. Sentinel utilise KQL (Kusto Query Language) qui est puissant mais pas intuitif pour les débutants, nécessitant une bonne quantité de formation pour bien démarrer.
3. Sentinel dispose d'un bon nombre de connecteurs préconstruits, mais lorsqu'il s'agit d'intégration avec des systèmes hérités, c'est un processus complexe qui prend beaucoup de temps.
4. Lorsqu'on traite de grandes requêtes complexes, cela peut prendre du temps et consommer beaucoup de ressources informatiques.
5. Une fois l'outil complètement configuré et utilisé sur une longue période, passer à une autre plateforme SIEM devient une tâche fastidieuse. Avis collecté par et hébergé sur G2.com.
